En el siguiente texto, Trend Micro presenta pruebas tangibles de que la reciente vulnerabilidad de la empresa certificadora holandesa DigiNotar se utilizó para espiar a usuarios de Internet iraníes de forma masiva.
En Trend Micro hemos descubierto que usuarios de Internet de más de 40 redes distintas de ISP y universidades de Irán se toparon con certificados SSL falsos emitidos por DigiNotar. Y lo más grave aún: hemos hallado pruebas de que algunos iraníes que usaban software diseñado para burlar la censura y espiar el tráfico no estaban protegidos contra este ataque masivo “man-in-the-middle" (conocido como ataque MitM o intermediario en español).
Certificados SSL falsos para ataques MitM Los certificados SSL se utilizan para mantener sesiones Web seguras, como al realizar transacciones bancarias en Internet y en sesiones de Gmail de Google. Las autoridades certificadoras son las encargadas de emitir certificados SSL y de comprobar la autenticidad de los certificados SSL. En julio de 2011, algunos hackers consiguieron crear certificados SSL falsos para cientos de nombres de dominios, incluido google.com e incluso todo el dominio de nivel principal .com mediante la intrusión en los sistemas de la certificadora holandesa DigiNotar. Este ataque es de extrema peligrosidad, puesto que estos certificados SSL falsos pueden utilizarse en ataques MitM en donde el tráfico Web seguro cifrado puede ser leído por terceras personas. El 29 de agosto de 2011 se descubrió el certificado SSL falso de Google.com emitido por DigiNotar. Este certificado permite espiar el tráfico de Gmail en los ataques MitM. Trend Micro ha descubierto pruebas tangibles de que estos ataques fueron perpetrados a gran escala en Irán. Nuestras pruebas se basan en los datos recopilados estas últimas semanas por nuestra infraestructura Trend Micro Smart Protection Network. Trend Micro Smart Protection Network analiza de forma constante los datos de los bucles de comentarios de millones de clientes de todo el mundo, incluidos a qué nombres de dominio se accede desde qué partes del mundo y a qué hora. Esta valiosa información nos permite proteger frente a los vectores de ataque más recientes en un abrir y cerrar de ojos.
Ataque dirigido a los usuarios iraníes En el caso del dominio validation.diginotar.nl, hemos encontrado un patrón muy interesante en las últimas semanas: hasta el 30 de agosto de 2011, lo cargaron principalmente usuarios de Internet con base en Holanda e Irán. El nombre de dominio validation.diginotar.nl lo utilizan los navegadores de Internet para verificar la autenticidad de los certificados SSL que son emitidos por DigiNotar. DigiNotar es una pequeña empresa certificadora holandesa con clientes de Holanda principalmente. Por lo tanto, lo esperado es que este nombre de dominio sea solicitado por usuarios de Internet holandeses casi en su totalidad y, quizás, por algún puñado de usuarios de otros países. Pero no por un gran número de iraníes. A partir del análisis de los datos de Smart Protection Network, observamos que el 28 de agosto de 2011 una parte significativa de usuarios de Internet que cargaron la URL de verificación de certificados SSL de DigiNotar eran de Irán. El 30 de agosto de 2011, la mayor parte del tráfico de Irán desapareció y el 2 de septiembre de este año prácticamente todo el tráfico iraní se había esfumado y DigiNotar siguió recibiendo a usuarios de Internet holandeses, como es habitual. Estas estadísticas agregadas de Trend Micro Smart Protection Network exponen con claridad que los usuarios de Internet iraníes estuvieron expuestos a un ataque MitM a gran escala en el que el tráfico cifrado de SSL pudo ser descifrado por terceras personas. Por ejemplo: probablemente, terceras personas pudieron leer toda la comunicación por correo electrónico que un usuario de Internet había enviado desde su cuenta de Gmail. Un análisis más detenido de nuestros datos revela hechos incluso más alarmantes: hemos detectado que los nodos de proxy salientes del software anticensura estadounidense creado en California enviaron solicitudes de clasificación Web para validation.diginotar.nl a los servidores en nube de Trend Micro. Esto significa casi con total seguridad que los ciudadanos iraníes que usaban este software anticensura fueron las víctimas del mismo ataque MitM. Su software anticensura debería haberles protegido pero, en realidad, sus comunicaciones cifradas fueron probablemente espiadas por terceras personas. Si desea consultar esta información visite:
blog.trendmicro.com  y 
countermeasures.trendmicro.eu

Qué es el Rogue Software o FakeAV ? Se le denomina 
Rogue Software (o también Rogue Rogueware, FakeAVs, Badware, Scareware) a los
“Falsos programas de seguridad” que no son realmente lo que dicen ser, sino que todo lo contrario. Bajo la promesa de solucionar falsas infecciones, cuando el usuario instala estos programas, su sistema es infectado. Estos
falsos Antivirus y Antispyware están diseñados para mostrar un resultado predeterminado (siempre de infección) y no hacen ningún tipo de escaneo real en el sistema al igual que no eliminaran ninguna infección que podamos tener. Simplemente nos van a mostrar una pantalla con varias infecciones a la vez que nos recomienda comprar su “versión completa” para poder eliminar esas supuestas infecciones. Los operadores de las redes maliciosas, están continuamente en la monetización de sus actividades mediante la propagación software de  seguridad falsos, que utilizan tácticas específicas como el miedo, para engañar en la instalación y la compra de software y antivirus falsos a los usuarios desprevenidos,  a  se le conoce como FakeAV. Aunque se ha reportado una disminución en el volumen de FakeAV, según el resultado de la creciente presión sobre los procesadores de pago que se encargan de las transiciones de  tarjetas de crédito, para proveedores de FakeAV la distribución del  mismo es probable que aumente una vez que las nuevas conexiones se hagan parte de la cooperativa de procesadores de pago. El dinero generado a través de estas actividades maliciosas es enorme, y quienes están detrás de la  distribución de FakeAV está continuamente tratando de estar un paso delante de las fuerzas del orden y de la comunidad de seguridad. Hoy, Trend Micro realiza un trabajo de investigación que se centra en cómo operar las redes de afiliados a FakeAV, qué estrategias de propagación están usando y cuál es la cantidad de actividad maliciosa. La complejidad de estas afiliaciones de redes,  plantea el reto significativo para los organismos policiales y las industrias de seguridad, a diferencia de los fraudes directos, tales como el robo de dinero a cuentas bancarias. El daño que causan las infecciones de FakeAV es considerable, agregado a la cantidad de actividad criminal llevada a cabo en cualquier jurisdicción y el daño que cualquier otra víctima en particular es todavía pequeño. Como resultado, muchos de las operaciones maliciosas relacionadas con FakeAV son capaces de evitar el escrutinio o la verificación. Si deseas enterarte más acerca de los modelos de negocios  y las metas de FakeAV,  entra a
http://blog.trendmicro.com/targeting-the-source-fakeav-affiliate-networks/?awid=7963139587789007097-1987

  Según un acuerdo definitivo, Trend Micro va a adquirir Mobile Armor, una empresa especializada en encripción con sede en St. Louis, Missouri, EEUU, con el objetivo de ampliar su portafolio de productos de protección de datos. Las ofertas de Mobile Armor ofrecen encripción de disco, de archivos/carpetas y de medios removibles para endpoints que complementan los actuales productos de prevención de pérdida de datos, encripción de correo electrónico y encripción de la nube de Trend Micro.   La adquisición de Mobile Armor se alinea con la visión de asegurar la información digital de Trend Micro, sin importar donde resida. Las soluciones de Mobile Armor complementan las ofertas de seguridad actuales de Trend Micro al permitir a los clientes asegurar la información en reposo desde los endpoints hasta la nube. Fuente: 
http://la.trendmicro.com/la/partners/strategic-partners/mobile-armor/  

El nuevo software de seguridad del fabricante, que ya está disponible en su tienda online y en retailers, consta de tres paquetes diseñados para satisfacer las necesidades de empresas y particulares. Trend Micro ha anunciado que ya está disponible su nueva solución de seguridad Titanium 2012, por lo que los usuarios interesados pueden adquirir ya el software a través de la tienda online de la compañía o bien en diferentes retailers. Entre las novedades que incorpora Titanium Maximum Security 2012 destaca su herramienta de identificación de enlaces maliciosos en redes sociales como Facebook o Twitter. Además, ofrece seguridad móvil para smartphones y tablets, incluyendo los dispositivos Android. Otra de las ventajas que presenta, Trend Micro, es que utiliza menos de la mitad del espacio en disco y memoria que otros productos de seguridad. Además, el fabricante ofrece otras soluciones de seguridad para la nube en función de las necesidades de los clientes. Así, presenta Titanium Security para Netbooks y Titanium Antivirus Plus, desde 29,95 euros. Además, también lanza Titanium Internet Security por 39,95 euros. Por otra parte, para los que deseen comprar una solución de seguridad totalmente integrada está Titanium Maximum Security, que tiene un coste de 59,95 euros.

Dada la dificultad actual para mantener las plataformas y aplicaciones libre de vulnerabilidades, resulta esencial comenzar implementar nuevas reglas de blindaje virtual en forma periódica.
¿CÓMO EL VIRTUAL PATCHING AYUDA A LA SEGURIDAD? El producto DeepSecurity de Trend Micro, es un software de seguridad para servidores virtuales, físicos, o en la nube. En conjunto con el software OfficeScan para las estaciones de trabajo físicas, cuentan con un módulo especializado en la inspección de paquetes (Deep Packet Inspection / DPI) el cual ofrece protección contra la explotación de vulnerabilidades en cientos de sistemas y aplicaciones sin la necesidad de reiniciar o suspender la actividad de los equipos.
El Desafío de la Gestión de Parches y Vulnerabilidades Las organizaciones son diariamente bombardeadas con exploits, como el famoso “Conficker/Downad” o “Aurora” (Google), que atacan las vulnerabilidades de los sistemas en que las organizaciones descansan sus operaciones de negocio. Una gran cantidad de vulnerabilidades dejan la puerta abierta a distintos tipos de malware, como los enfocados al robo de información, y a todo tipo de ataques a la estabilidad de las operaciones y la reputación de la compañía. El personal de sistemas no puede mantenerse al día ya que es prácticamente imposible descargar, probar, y desplegar los parches para todas las vulnerabilidades críticas antes de que estas puedan ser explotadas. Al mismo tiempo, el parcheo de emergencia causa tiempos de parada de servicios inaceptables, sobrecarga en las operaciones, y costos no previstos. Además, en el contexto actual, la virtualización crea desafíos adicionales, tales como mantenerse en compliance con regulaciones como PCI, lo cual desafía a implementar parches dentro de los 30 días (aunque los ataques de día cero son cada vez más comunes). Nunca ha existido una necesidad más urgente de implementar una solución de “virtual patching” que complemente estrategia y procesos de gestión de parches, blindando los sistemas contra la explotación de vulnerabilidades conocidas y desconocidas.
Vectores de vulnerabilidad Las organizaciones requieren blindar múltiples vulnerabilidades en un amplio rango de sistemas operativos y aplicaciones críticas que son el objetivo de los ciberdelincuentes *
Aplicaciones Empresariales. En 2010, más de 4000 vulnerabilidades fueron reportadas en distintos sistemas operativos, base de datos, servidores y otras aplicaciones. Parchear esas vulnerabilidades puede ser un proceso largo y disruptivo, requiriendo el reinicio de los sistemas e impactando los objetivos de niveles de servicio. Aun cuando un parche esté disponible por el fabricante del sistema, puede tomar meses la aplicación completa en la red.
* Virtual Patching. “27% califica su proceso de ‘patch managemet’ como efectivo.” - Information Week.
* Sistemas operativos sin soporte. Los sistemas operativos que hayan alcanzado el ciclo de fin de soporte del fabricante, ya no disponen de nuevos parches ni actualizaciones de seguridad. A menudo, el tiempo y el costo de migrar a las nuevas versiones son simplemente muy altos, por lo que las organizaciones necesitan una solución más inmediata y económica. Virtual Patching es la única manera de asegurar la continuidad en la protección de estos sistemas.
Trend Micro DeepSecurity for Virtual Patching Trend Micro DeepSecurity blinda los sistemas hasta que el parche del software afectado esté aplicado, o incluso en casos donde el parche nunca sea desarrollado. De cualquier manera y en todas las situaciones, se obtiene un complemento para la estrategia de parcheo tradicional que es más veloz y ayudará a disminuir los costos y reducir las interrupciones de servicio mientras que brinda mayor control sobre la programación de las pruebas y despliegue de los parches.